Posté le décembre 4, 2022 à 6:00
LASTPASS DÉCLARE QUE DES HACKERS ACCÈDENT AUX DONNÉES DES CLIENTS STOCKÉES DANS UN SERVICE DE STOCKAGE COMPROMIS
LastPass a déclaré que des acteurs de la menace inconnus ont obtenu un accès non autorisé à son service de stockage en nuage grâce aux informations volées lors d’une précédente violation en août 2022. L’entreprise a déclaré que les acteurs de la menace ont utilisé le service de stockage compromis pour accéder aux informations des clients.
LastPass signale une violation des données de ses clients
LastPass a subi une violation de sécurité le 20 août 22. Les conséquences de cette violation sont maintenant visibles, car les attaquants ont utilisé les données de la première violation pour accéder aux informations des clients.
Dans une déclaration, la société a fait savoir : « Nous avons récemment détecté une activité inhabituelle dans un service de stockage en nuage tiers, qui est actuellement partagé par LastPass et sa société affiliée, GoTo. Les mots de passe des clients restent cryptés en toute sécurité grâce à l’architecture Zero Knowledge de LastPass. »
La société a indiqué que la partie non autorisée avait utilisé les informations obtenues lors de la violation du mois d’août 2022 pour accéder à certaines caractéristiques des informations relatives aux clients. La société a ajouté qu’elle avait fait appel aux services de la société de cybersécurité Mandiant pour enquêter sur cette violation. Elle est également en contact avec les forces de l’ordre pour surveiller les effets de cette violation.
L’entreprise a confirmé que les acteurs de la menace n’ont pas eu accès aux mots de passe des clients. L’entreprise a protégé les mots de passe des clients en utilisant l’architecture « Zero Knowledge ». Elle a ainsi empêché les acteurs de la menace d’y accéder lors d’incidents de violation tels que celui qui vient de se produire.
LastPass a par ailleurs déclaré qu’elle s’efforçait de comprendre comment cet incident s’était produit. En outre, elle mène également d’autres enquêtes pour comprendre le type d’informations auxquelles les acteurs de la menace ont eu accès.
Deuxième incident de sécurité en un an
Il s’agit de la deuxième violation de sécurité que LastPass a signalée cette année. En août, l’entreprise a confirmé que son environnement de développement avait été compromis par la violation d’un compte de développeur.
La société de gestion de mots de passe a été piratée, ce qui a permis aux attaquants de voler le code source de la société et d’autres informations techniques exclusives. L’entreprise a révélé cet incident de piratage après que BleepingComputer l’a contactée pour confirmer la violation. Toutefois, selon certains rapports, les employés de l’entreprise se sont lancés dans une course pour maîtriser la violation.
Après le début des questions sur cette violation, LastPass a publié un avis, confirmant qu’une violation avait bien eu lieu. L’entreprise a déclaré que la violation résultait d’un compte de développeur compromis que les hackers ont utilisé pour accéder à l’environnement de développement de l’entreprise.
LastPass a également déclaré qu’il n’y avait aucune preuve que la violation ait entraîné une violation des données des clients. Elle a ajouté que les coffres-forts de mots de passe n’ont probablement pas été compromis. Cependant, les attaquants ont eu accès à certaines parties du code source et aux « informations techniques exclusives de LastPass ».
L’avis de la société indique également qu’en réagissant à cet incident, la société a déclaré avoir adopté des mesures de contrôle et d’atténuation. En outre, elle a aussi fait appel à l’une des principales sociétés de cybersécurité et de médecine légale pour comprendre l’étendue de la violation. Elle a de plus ajouté qu’elle avait déployé des mesures de sécurité supplémentaires pour contenir les conséquences de la violation.
« Bien que notre enquête soit en cours, nous avons atteint un certain niveau de contrôle, mis en œuvre des mesures de sécurité renforcées supplémentaires, et ne voyons aucune autre preuve d’activité non autorisée », a déclaré la société.
À ce moment-là, la société a également envoyé des e-mails à ses clients. Elle a confirmé que les attaquants avaient accédé au code source volé et aux informations techniques exclusives de ses systèmes. L’entreprise a ensuite publié une mise à jour de suivi indiquant que les attaquants avaient conservé un accès interne à leurs systèmes pendant quatre jours, jusqu’à ce qu’ils soient évincés.
LastPass est l’un des principaux logiciels de gestion des mots de passe. L’entreprise affirme qu’elle est utilisée par plus de 33 millions de personnes dans le monde et 100 000 autres entreprises.
Les consommateurs et les entreprises adoptent le logiciel que la société utilise pour stocker les mots de passe en toute sécurité. Cependant, la violation de la sécurité de l’entreprise suscite également des inquiétudes. Ces inquiétudes portent sur ce qui se passerait si la société était piratée et si une violation de ses serveurs permettait à des acteurs de menaces d’accéder aux mots de passe stockés.
Toutefois, LastPass a adopté la meilleure infrastructure pour protéger les mots de passe des utilisateurs en toute sécurité et réduire la possibilité que ces mots de passe soient piratés. Les mots de passe de LastPass ne peuvent être décryptés qu’à l’aide d’un mot de passe principal du client, et selon LastPass, le mot de passe principal n’a pas été compromis.
En 2021, LastPass a subi une attaque de credential stuffing permettant aux acteurs de la menace de confirmer le mot de passe principal de l’utilisateur. Il a en outre été révélé que les mots de passe maîtres de l’entreprise avaient été volés par les acteurs de la menace distribuant le logiciel malveillant de vol de mots de passe RedLine.
